IRS-hovedkvartaret med grafikk fra nettstedet. Digitale skattetjenester har latt seg svindle av en bande ledet fra Ukraina.

ID-tyver lurte skatteetaten

Leverte falske krav om fradrag og fikk igjen på ofrenes skatt.

Amerikansk politi har rullet opp en ukrainsk-ledet liga som har brukt datainnbrudd, forfalskede bankkort, ID-tyveri og falske selvangivelser til å stjele minst 15 millioner dollar fra amerikanske statsborgere siden mars i fjor.

Åtte bandemedlemmer er siktet, alle menn, i New Jersey. Av disse er fire arrestert. To amerikanske statsborgere er etterlyst. De to antatte hovedpersonene, Oleksiy Sharapka (33) og Leonid Yanovitsky (38), er begge ukrainske statsborgere og antas å befinne seg i hjembyen Kiev.

De fire arresterte er Robert Dubuc (33 år, bosatt i Malden i Massachusetts), Ilya Ostapyuk (31 år, Brooklyn, New York), Oleg Pidtergerya (49 år, Brooklyn) og Andrey Yarmolitskiy (41 år, Atlanta, Georgia). De to amerikanerne på flukt er Richard Gundersen (46 år, Brooklyn) og Lamar Taylor (37 år, Salem, Massachusetts).

Flere av bandens framgangsmåter tilsvarer dem beskrevet i vår artikkel Kybermareritt for banker 10. mai, da en annen internasjonal bande på åtte ble rullet opp og siktet: I begge tilfeller ble det opprettet falske forhåndsbetalte debetkort som det ble overført penger til på grunnlag av falske identiteter og annen informasjon kapret gjennom datainnbrudd.

I det aktuelle tilfellet ble det også opprettet bankkontoer på grunnlag av falske identiteter. I tillegg ble offentlige myndigheter lurt til å godta falske selvangivelser der banden fabrikkerte store fradragsposter.

Bedrageriene av amerikanske skattemyndigheter (IRS, Internal Revenue Service) beskrives i detalj i anmeldelsen levert av spesialagent Jeremiah Reppert i US Secret Service (pdf, 13 sider).

ID-ene som banden brukte, ble i hovedsak skaffet gjennom datainnbrudd mot to selskaper, ADP (Automatic Data Processing) og Fundtech.

ADP er en av verdens største leverandører av tjenester innen lønn og personal. ADPs kunder bruker tjenestene til alt rundt lønnsutbetaling, skattetrekk, innbetaling av trukket skatt til myndighetene og så videre. Ansatte i ADBs kunder kan velge om de vil ha lønn utbetalt til en bankkonto, eller overført til et debetkort. Datainnbruddene mot ADP ga tilgang til lønnskontoer hos 130 selskaper.

Fundtech tilbyr faktura, innkreving og betalingsløsninger til lokale amerikanske myndigheter. Datainnbruddene hos Fundtech ga tilgang til kontoopplysninger til kunder i blant annet offentlig eide vann- og elektrisitetsverk, inklusiv bankkontoer for tilbakebetaling av avgifter og rabatter.

Opplegget overfor IRS besto i å bruke kaprede ID-er til å levere krav om skattefradrag. Virksomheten pågikk fra mars til september i fjor. IRS godkjente fradragene, og tilbakebetalte det de trodde de skyldte til bankkontoer og debetkort kontrollert av banden. I et tilfelle godkjente de fradrag for 20 000 dollar til én og samme kapret identitet, over en periode på to måneder.

Spesialagent Reppert beskriver hvordan han fotograferte bandemedlemmer ved minibanker i det de tok ut kontanter med falske bankkort knyttet til kontoer oppgitt til IRS.

Den antatte bandelederen Oleksiy Sharapka er en gammel kjenning av amerikansk politi.

En politirapport fra 2006 beskriver hvordan han fra mars til mai 2004, mens han oppholdt seg i Atlanta, Georgia, bedrev datainnbrudd, ID-kapring og svindel. Han brukte kaprede ID-er til å kjøpe varer over internett. Varer som han ikke brukte selv, ble solgt lokalt eller sendt til Russland. Han ble arrestert og siktet for dette, og sluppet fri, med fotlenke.

Ifølge politirapporten fjernet han fotlenken og flyttet virksomheten til Massachusetts, hvor han var aktiv med datainnbrudd, svindel og ID-kapring fra juli til november. Igjen ble ID-ene og bankkontoene brukt til å kjøpe varer over nett, for så å selge dem lokalt eller sende dem til Russland.

Resten av Sharapkas historie går fram av anmeldelsen til spesialagent Reppert: Sharapka ble arrestert i november 2004 og etter hvert dømt til 102 måneder i fengsel. Han slapp fri i mars 2012, og ble deportert til Ukraina.

Antakelig har Sharapka greid å holde kontakt med banden sin også mens han sonet. Det går fram av anmeldelsen til Reppert at datainnbruddene og ID-kapringene startet høsten 2011. Uttakene fra de falske bankkontoene og debetkortene startet samtidig med at Sharapka ble sendt til Ukraina, og det var da bandens overføringer av penger til Ukraina tok til. I anmeldelsen heter det at storparten av de 15 millioner dollar ble overført til Sharapka og Yanovitsky i Kiev.

For øvrig går det fram av både Repperts anmeldelse og avisreferater (se for eksempel Chicago Tribune og lokalavisen Salem News) at vanlig politiarbeid ligger til grunn for siktelsen og anmeldelsen.

Beslaget i Sharapkas gmail-konto ble gjort i henhold til en ransakingsordre fra dommer Cathy Waldor i desember i fjor, og det var dette beslaget som satte fart i etterforskningen.

Vanlige kriminelle har med andre ord intet å frykte fra den omfattende overvåkningen til etterretningsorganisasjonen NSA (National Security Agency).

Det er ikke dem spionene er ute etter. Dette er en hittil upåaktet forskjell mellom EUs datalagringsdirektiv og NSAs arkivering av telefrafikk, nettrafikk og innhold.

Til toppen